-
团灭!Log4j 1.x 也爆雷了。。。速速弃用!!
最近炒得沸沸扬扬的 Log4j2 漏洞门事件,大家应该都修复完了吧,还没修复的看栈长分享的 Log4j2 最新漏洞动态:
Log4j 2.3.1 发布!又是什么鬼??
在 Log4j2 漏洞发生的同时,Logback 也未能幸免:
Logback 也爆雷了,惊爆了。。。
Java技术栈群里有小伙伴讨论 Log4j 1.x 应该没漏洞:
栈长之前说过,Log4j 1.x 和 Logback 是能规避这个核弹级漏洞,很多小伙伴可能还在暗暗窃喜,没错,但也有错,Log4j 1.x 是早已经被淘汰的项目了,就算能规避这个漏洞,但早已经不建议用了。
如 Log4j 1.x 官网所示:
Log4j 1.x 在 2015 年就停止维护了,已经停止更新 7 年了。。
最新版本:Log4j 1.2.17,发布时间:2012-05-13
Log4j 1.x 算是最早一代的老古董日志框架了,也就是传说中的老牌日志框架 "Log4j",曾经无处不在,现在很少用到了,除非在一些老系统中,所以关注度也很少了。
关注度少,不代表就能高枕无忧,Log4j 1.x 在 2019 年就爆了一次雷,在 Log4j 1.x 中发现了一个已知的安全漏洞 CVE-2019-17571:
这是一个反序列化导致的远程代码执行漏洞,漏洞详细可参考:
https://www.cvedetails.com/cve/CVE-2019-17571/
由于官方不再维护 Log4j 1.x,因此也不会修复此漏洞。另外,Log4j 1.x 还存在什么漏洞,因为长期没有维护和检测,目前也是未知的。
所以,还在用 Log4j 1.x 的同志们赶紧升级到 Log4j 2.x 或者换 Logback 吧!!!
Logback 同样也是 Log4j 的作者开发的,是 SLF4J 日志门面的原生实现,拥有更多丰富的特性,当初也是 Log4j 1.x 的替代。
Log4j 2.x 是对 Log4j 1.x 的升级,得到了重大改进,并且吸引了 Logback 中的优秀设计并加以优化,还修复了 Log4j 1.x 的漏洞及许多问题,性能更是碾压 Log4j 1.x,推荐使用。
Log4j2 和 Logback 怎么选可以参考栈长之前分享的:
Apache Log4j 爆核弹级漏洞,Spring Boot 默认日志框架就能完美躲过!!
所以,Log4j 1.x 也不能独善其身,别再用一个已经停止维护多年、还存在漏洞的项目了……
这下好了,主流日志组件都有漏洞,团灭!!
如果是内网系统,以上可以考虑无视,但小心哪天上了公网,所以也请速速弃用。。
出 处:https://www.cnblogs.com/javastack/p/15744539.html